Hackers likely hijacked over 20,000 Instagram accounts with Meta’s AI chatbot

개요

Meta의 AI 지원 챗봇에서 발생한 버그로 인해 20,000개 이상의 인스타그램 계정이 해커의 공격 대상이 되었다.

주요 내용

* 해당 공격은 Meta의 AI 지원 챗봇에서 발생한 버그를 통해 이루어졌으며, 공격자는 챗봇에 비밀번호 재설정을 요청하는 방식으로 2단계 인증(2FA)이 설정되지 않은 계정을 탈취할 수 있었다.
* 버그는 비밀번호 재설정을 요청할 때 사용자가 제공한 이메일 주소가 해당 사용자 계정과 연결된 이메일 주소와 일치하는지 제대로 확인하지 않아 발생했다. 이로 인해 공격자가 계정과 연결되지 않은 이메일 주소를 제출해도 비밀번호 재설정 링크가 발송되는 문제가 있었다.
* 이 공격은 5월 31일에 처음 보고되었으며, Meta는 6월 1일에 문제를 해결했다고 밝혔다.
* 영향을 받은 계정 중에는 버락 오바마 전 대통령의 백악관 계정, 미국 우주군 참모장 존 F. 벤티베그나, 세포라 등 유명 계정도 포함되었다.
* Meta는 개인 데이터가 유출되었는지 여부는 알 수 없으나, 이메일 주소, 전화번호, 생년월일, 소셜 미디어 게시물, 다이렉트 메시지, 프로필 정보, 계정 활동 및 연결된 계정 정보가 유출될 수 있다고 언급했다.
* 영향을 받은 사용자 중 30명은 메인주에 거주했으며, 이는 비밀번호 재설정 도구를 통해 비밀번호가 재설정되었고 2FA가 활성화되지 않은 계정이 무단 접근되었을 가능성이 있는 사용자들의 상한선으로Meta는 보고했다.
* Meta는 AI 지원 도구를 비활성화하고 버그가 있는 코드 경로를 제거했으며, 해당 취약점을 이용해 생성된 모든 비밀번호 재설정 링크를 무효화했다. 또한 영향을 받은 것으로 추정되는 모든 계정에 대해 계정 접근 전 인증을 요구하는 의무적인 보안 점검을 실시했다.

시사점

이번 사건은 AI 챗봇의 취약점이 개인 정보 유출 및 계정 탈취로 이어질 수 있음을 보여주며, 2단계 인증 사용의 중요성과 함께 AI 시스템의 보안 점검 및 버그 관리가 필수적임을 시사한다.